L’importance de solides mesures de cybersécurité et de résilience opérationnelle ne peut être surestimée de nos jours. L’Union européenne a fait un pas significatif dans cette direction avec l’introduction la résilience opérationnelle numérique (DORA), un règlement visant à renforcer le secteur financier contre les cybermenaces en constante évolution. Approuvée par le Parlement européen en novembre 2022 et devant entrer en vigueur d’ici janvier 2025, DORA est sur le point de transformer le paysage réglementaire de la sécurité pour les institutions financières opérant au sein de l’UE.
Qu’est-ce que la résilience opérationnelle numérique (DORA) ?
DORA, la résilience opérationnelle numérique, est un cadre réglementaire ciblant les entreprises du secteur financier opérant au sein de l’UE. Approuvé par le Parlement européen en novembre 2022 et devant entrer en vigueur d’ici janvier 2025, son objectif est de renforcer l’environnement réglementaire en matière de sécurité. Cette loi oblige les entités financières, allant des banques aux fournisseurs de services de crypto-actifs, à s’assurer que leurs opérations numériques sont résilientes contre tous les types de perturbations, maintenant ainsi la continuité des services financiers pour les consommateurs et les entreprises.
Dans le cadre de l’initiative plus large de l’UE visant à renforcer la résilience opérationnelle du secteur financier, DORA propose une approche structurée pour atténuer les risques associés aux cybermenaces et autres incidents liés aux TIC (Technologies de l’information et de la communication). En imposant des normes rigoureuses de gestion des risques numériques, DORA protège non seulement le secteur financier des cybermenaces, mais renforce également la stabilité financière de l’UE et renforce la confiance des consommateurs dans les services financiers numériques.
L’origine de DORA
DORA a été conçu en réponse à la dépendance croissante du secteur financier à l’égard des plateformes technologiques pour générer, partager et stocker des données financières sensibles cruciales pour les marchés et la santé économique de l’UE. La fréquence et la sophistication croissantes des cyberattaques ont posé des menaces importantes qui pourraient potentiellement déstabiliser l’économie de l’UE, faisant du secteur financier une cible de choix. En réponse, la Commission européenne a introduit DORA fin 2022, établissant une approche cohérente de la “résilience opérationnelle numérique” dans tous les États membres pour assurer la protection des infrastructures financières critiques.
Depuis sa création, DORA a subi de nombreuses révisions pour s’adapter au paysage technologique en constante évolution. Ces changements ont été façonnés par la contribution des acteurs du secteur financier, des experts en cybersécurité et des organismes de réglementation, garantissant que DORA reste efficace et pertinent. Cet effort de collaboration souligne l’importance d’une approche réglementaire flexible pour maintenir la résilience du secteur financier.
Les cinq piliers de DORA
Le cadre complet de DORA repose sur cinq piliers clés, chacun abordant des aspects critiques de la résilience opérationnelle numérique :
-
Gestion des risques TIC : DORA exige que la direction gère les risques TIC, développe une stratégie de résilience numérique, et approuve les politiques pour les fournisseurs tiers (TPP). Il harmonise la déclaration des événements TIC pour toutes les sociétés financières.
-
Signalement des incidents : DORA simplifie les règles de signalement et introduit un nouveau cadre pour classifier, notifier et signaler les incidents. Les organisations doivent améliorer leur collecte et communication d’informations sur les événements TIC et alerter les clients et contreparties sur les cybermenaces majeures.
-
Gestion des risques tiers : DORA s’applique à tous les contrats d’externalisation TIC, incluant des droits d’accès et d’audit, protection des données, mesures de sécurité et plans de sortie. Les Autorités européennes de surveillance (AES) supervisent les fournisseurs tiers critiques (CTPP).
-
Tests de risques numériques : Les organisations, sauf les micro-entreprises, doivent tester régulièrement la sécurité et résilience de leurs systèmes TIC. Les entreprises importantes doivent subir des tests d’intrusion avancés tous les trois ans, incluant les TPP.
-
Partage de renseignements : DORA encourage le partage d’informations sur les cybermenaces au sein d’une communauté de confiance. Les entreprises doivent informer leurs autorités compétentes de leur participation.
Objectifs clés de DORA
-
Résilience accrue : DORA vise à renforcer la résilience opérationnelle des entités financières en veillant à ce qu’elles disposent de systèmes et de contrôles robustes pour gérer efficacement les risques liés aux TIC.
-
Harmonisation : Le règlement vise à harmoniser les exigences en matière de gestion des risques liés aux TIC dans l’ensemble de l’UE, en fournissant un cadre cohérent auquel toutes les institutions financières doivent adhérer.
-
Gestion des risques liés aux tiers : DORA met l’accent sur la gestion des risques découlant des fournisseurs de services TIC tiers, reconnaissant le rôle essentiel que ces fournisseurs jouent dans l’écosystème financier.
-
Déclaration des incidents : La loi exige la déclaration détaillée des incidents liés aux TIC, garantissant que les organismes de réglementation ont une vision claire des risques opérationnels auxquels sont confrontées les institutions financières.
Qui est affecté par DORA?
DORA s’applique à un large éventail d’entités financières, notamment :
-
Banques et établissements de crédit
-
Compagnies d’assurance
-
Entreprises d’investissement
-
Prestataires de services de paiement
-
Fournisseurs de services de crypto-actifs
-
Fournisseurs de services TIC tiers critiques
Pénalités pour non-conformité de DORA
DORA fixe des seuils pour les services aux institutions financières. Si les services d’une organisation atteignent les seuils fixés, l’organisation sera supervisée par les régulateurs financiers. Même si les services d’une organisation n’atteignent pas les seuils, l’organisation doit toujours se conformer aux exigences de DORA par le biais d’obligations contractuelles avec les clients de l’organisation.
Par exemple, les institutions financières doivent signaler rapidement les violations de données, et elles exigeront la même chose de leurs fournisseurs. La non-conformité peut entraîner des pénalités allant jusqu’à 10 millions d’euros ou 5% du chiffre d’affaires annuel, des actions correctives, des réprimandes publiques ou des révocations d’autorisations. Les entreprises peuvent également devoir rembourser les consommateurs pour les pertes dues à la non-conformité.
DORA renforce la cybersécurité et la résilience opérationnelle dans le secteur financier. D’ici janvier 2025, les institutions doivent s’aligner sur ses exigences par des analyses de lacunes, des investissements nécessaires et une surveillance des normes techniques. La conformité avec DORA favorise également une culture de résilience et de préparation, bénéfique pour l’écosystème financier.